作業の開始ウィザードを使用した単一の DirectAccess サーバーの展開
適用対象: Windows Server 2012 R2,Windows Server 2012
このトピックでは、単一の DirectAccess サーバーを使用し、短い簡単な手順で DirectAccess を展開できる、DirectAccess のシナリオについて説明します。
代わりの展開パスについては、「Windows Server の DirectAccess 展開パス」を参照してください。
重要
このガイドを使用して DirectAccess を展開するには、Windows Server® 2012 R2 または Windows Server® 2012 を搭載している DirectAccess サーバーを使用する必要があります。
展開を開始する前に、サポートされない構成、既知の問題、前提条件の一覧を参照してください
以下のトピックを使用して、Windows Server® 2012 R2 および Windows Server® 2012 で DirectAccess を展開する前に、前提条件とその他の情報を確認すできます。
シナリオの説明
このシナリオでは、いくつかの簡単な手順に従って、Windows Server 2012 R2 または Windows Server 2012 を搭載している 1 台のコンピューターを DirectAccess サーバーとして構成します。
この簡単なシナリオでは、ウィザードのいくつかの簡単な手順に従って、既定の設定で DirectAccess を設定します。証明機関 (CA) や Active Directory セキュリティ グループなど、インフラストラクチャの設定を構成する必要はありません。
設定をカスタマイズして高度な展開を構成する場合は、「Deploy a Single DirectAccess Server with Advanced Settings」を参照してください。
負荷分散クラスター、マルチサイト展開、クライアントの 2 要素認証など、エンタープライズ機能を使用して DirectAccess を構成する場合は、このトピックのシナリオで単一のサーバーを設定した後に、「企業でのリモート アクセスの展開」を参照して必要なエンタープライズ シナリオを実行してください。
このシナリオの内容
単純な DirectAccess サーバーを設定するには、いくつかの計画と展開の手順を実行します。
前提条件
このシナリオの展開を開始する前に、重要な要件の一覧を確認してください。
- すべてのプロファイルで Windows ファイアウォールが有効になっている必要があります。
- このシナリオは、クライアント コンピューターが Windows® 8.1 および Windows® 8 を搭載している場合にのみサポートされます。
- 企業ネットワーク内での ISATAP はサポートしていません。 ISATAP を使用している場合は、これを削除し、ネイティブ IPv6 を使用する必要があります。
- 公開キー基盤は必要ありません。
- 2 要素認証を展開する場合はサポートされません。 認証にはドメインの資格情報が必要です。
- 現在のドメインのすべてのモバイル コンピューターに DirectAccess を自動的に展開します。
- インターネットへのトラフィックは、DirectAccess トンネルを通過しません。 強制トンネルの構成はサポートされません。
- DirectAccess サーバーは、ネットワーク ロケーション サーバーです。
- ネットワーク アクセス保護 (NAP) はサポートされていません。
- DirectAccess 管理コンソールまたは Windows PowerShell コマンドレットを使用しないポリシーの変更はサポートされていません。
- すぐに、または後で、マルチサイトを展開する場合は、最初に「Deploy a Single DirectAccess Server with Advanced Settings」を行います。
計画の手順
計画は 2 つのフェーズに分かれています。
DirectAccess のインフラストラクチャの計画: このフェーズでは、DirectAccess の展開を開始する前に設定する必要があるネットワーク インフラストラクチャについての計画を行います。 これには、ネットワークとサーバーのトポロジ、DirectAccess ネットワーク ロケーション サーバーの計画が含まれます。
DirectAccess の展開の計画: このフェーズでは、DirectAccess を展開するための準備として必要な計画を行います。 これには、DirectAccess クライアント コンピューター、サーバーとクライアントの認証要件、VPN の設定、インフラストラクチャ サーバー、管理サーバーとアプリケーション サーバーの計画が含まれます。
詳細な計画手順については、「高度な DirectAccess 展開を計画する」を参照してください。
展開の手順
展開は 3 つのフェーズに分かれています。
DirectAccess のインフラストラクチャの構成: このフェーズでは、ネットワークとルーティングの構成、ファイアウォール設定の構成 (必要な場合)、証明書、DNS サーバー、Active Directory および GPO 設定、DirectAccess ネットワーク ロケーション サーバーの構成を行います。
DirectAccess サーバーの設定の構成: このフェーズでは、DirectAccess クライアント コンピューター、DirectAccess サーバー、インフラストラクチャ サーバー、管理サーバーとアプリケーション サーバーの構成を行います。
展開の確認: このフェーズでは、展開が想定したとおりに機能することを確認します。
詳細な展開手順については、「基本的な DirectAccess をインストールして構成する」を参照してください。
実際の適用例
単一のリモート アクセス サーバーを展開すると、次のことが実現されます。
簡単なアクセス: Windows 8.1、Windows 8、Windows® 7 を搭載している管理対象のクライアント コンピューターを DirectAccess クライアントとして構成できます。 そうしたクライアントは、インターネット上に存在しているときは、VPN 接続にログインしなくても、DirectAccess を経由して内部ネットワーク リソースにアクセスできます。 これらのオペレーティング システムを搭載していないクライアント コンピューターは、従来の VPN 接続を使用して内部ネットワークに接続できます。
簡単な管理: リモート アクセス管理者は、クライアント コンピューターが企業内部ネットワーク上に存在しない場合でも、インターネット上に存在する DirectAccess クライアント コンピューターを DirectAccess 経由でリモート管理できます。 企業の要件を満たしていないクライアント コンピューターを管理サーバーによって自動的に修正できます。 DirectAccess と VPN は両方とも同じコンソールで管理され、同じウィザードを使用します。 さらに、単一のリモート アクセス管理コンソールから 1 台以上のリモート アクセス サーバーを管理できます。
このシナリオに含まれている役割と機能
次の表に、このシナリオに必要な役割と機能を示します。
役割/機能 |
このシナリオのサポート方法 |
|---|---|
リモート アクセスの役割 |
この役割をインストールまたはアンインストールするには、サーバー マネージャー コンソールまたは Windows PowerShell を使用します。 この役割には、以前は Windows Server 2008 R2 の機能であった DirectAccess と、以前はネットワーク ポリシーとアクセス サービス (NPAS) サーバーの役割の役割サービスであったリモート アクセス サービスの両方が含まれています。 リモート アクセスの役割は、次の 2 つのコンポーネントで構成されています。
リモート アクセス サーバーの役割は、次のサーバーの役割や機能に依存しています。
|
リモート アクセス管理ツールの機能 |
この機能は、次のようにインストールされます。
リモート アクセス管理ツールの機能は、次の要素で構成されています。
次の要素と依存関係があります。
|
ハードウェア要件
このシナリオのハードウェア要件は次のとおりです。
サーバーの要件:
Windows Server 2012 R2 または Windows Server 2012 のハードウェア要件を満たしているコンピューター。
サーバーには、少なくとも 1 つのネットワーク アダプターがあり、有効にされて内部ネットワークに接続されている必要があります。 アダプターを 2 つ使用する場合は、一方を企業内部ネットワークに接続し、もう一方を外部ネットワーク (インターネットまたはプライベート ネットワーク) に接続します。
少なくとも 1 つのドメイン コントローラー。 リモート アクセス サーバーと DirectAccess クライアントはドメインのメンバーである必要があります。
クライアントの要件:
クライアント コンピューターは、Windows 8.1 または Windows 8 を搭載している必要があります。
重要
一部または全部のクライアント コンピューターが Windows 7 を搭載している場合は、詳細構成ウィザードを使う必要があります。 このドキュメントで説明している作業の開始ウィザードでは、Windows 7 を搭載しているクライアント コンピューターはサポートされません。 DirectAccess で Windows 7 クライアントを使用する方法については、「Deploy a Single DirectAccess Server with Advanced Settings」を参照してください。
注意
DirectAccess クライアントとして使用できるオペレーティング システムは、Windows® 8.1 Enterprise、Windows Server 2012 R2、Windows Server 2012、Windows® 8 Enterprise、Windows Server 2008 R2、Windows 7 Enterprise、Windows 7 Ultimate です。
インフラストラクチャと管理サーバーの要件:
- VPN が有効になっていて、静的 IP アドレス プールが構成されていない場合は、VPN クライアントに IP アドレスを自動的に割り当てるために DHCP サーバーを展開する必要があります。
Windows Server 2008 SP2、Windows Server 2008 R2、または Windows Server 2012 が実行されている DNS サーバーが必要です。
ソフトウェア要件
このシナリオには、さまざまな要件があります。
サーバーの要件:
リモート アクセス サーバーはドメイン メンバーである必要があります。 サーバーは、内部ネットワークのエッジに展開することも、エッジ ファイアウォールまたは他のデバイスの内側に配置することもできます。
リモート アクセス サーバーがエッジ ファイアウォール内または NAT デバイスの内側に配置されている場合は、リモート アクセス サーバーとの間で送受信されるトラフィックを許可するようにデバイスを構成する必要があります。
サーバーにリモート アクセスを展開する担当者には、サーバーに対するローカルの管理者のアクセス許可およびドメイン ユーザーのアクセス許可が必要です。 また、管理者には DirectAccess 展開で使用される GPO に対するアクセス許可も必要です。 DirectAccess 展開をモバイル コンピューターのみに制限する機能を利用するには、ドメイン コントローラーで WMI フィルターを作成するアクセス許可が必要です。
リモート アクセス クライアントの要件:
DirectAccess クライアントは、ドメイン メンバーである必要があります。 クライアントが含まれているドメインは、リモート アクセス サーバーと同じフォレストに属することや、リモート アクセス サーバーのフォレストと双方向の信頼を確立することができます。
DirectAccess クライアントとして構成するコンピューターが属する Active Directory セキュリティ グループが必要です。 DirectAccess クライアントの設定の構成時にセキュリティ グループを指定しなかった場合、既定では、Domain Computers セキュリティ グループのすべてのノート PC にクライアントの GPO が適用されます。 DirectAccess クライアントとして使用できるオペレーティング システムは、Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 Enterprise、および Windows 7 Ultimate だけです。
関連項目
次の表に、関連リソースへのリンクを示します。
コンテンツの種類 |
参考資料 |
|---|---|
TechNet 内のリモート アクセス |
|
製品評価 |
テスト ラボ ガイド: Windows NLB を使用するクラスターでの DirectAccess のデモンストレーション |
ツールと設定 |
|
コミュニティ リソース |
|
関連テクノロジ |